2024-03-28 17:25 (목)
스마트폰 뱅킹 보안앱 삭제 유도 악성 뱅킹앱 발견...주의
상태바
스마트폰 뱅킹 보안앱 삭제 유도 악성 뱅킹앱 발견...주의
  • 길민권
  • 승인 2014.04.09 18:22
이 기사를 공유합니다

정상 은행 앱 삭제...가짜 은행 앱 설치후 사용자 금융정보 탈취
최근 안랩의 스마트폰용 뱅킹 보안 제품인 V3 모바일 플러스 2.0의 삭제를 유도하는 뱅쿤(Bankun)류의 악성 앱이 발견되어 사용자 피해로 이어질 수 있어 각별한 주의가 요구된다.

이번에 발견된 악성 앱은 사용자가 은행 앱을 실행하면 자동으로 동작하는 V3 모바일 플러스 2.0의 진단창을 사칭해 가짜 감염 메시지를 띄운 후, 사용자가 무심코 확인 버튼을 누르면 실제로는 보안프로그램을 삭제하는 악성행위를 한다. 해당 앱은 정상 은행 앱을 삭제하고 가짜 은행 앱으로 바꿔 치기 하는 기존 뱅킹 악성앱 기능에 보안제품 삭제를 유도하는 기능이 더해진 것이 특징이다.

또한 스마프폰 사용자 몰래 △전화 수신/발신 내역 유출 △SMS[문자메시지] 유출 △주소록 유출 등의 악성 기능도 함께 가지고 있다.


모바일 악성코드 감염과정은 아래와 같다.
1. 스미싱 메시지로 악성코드 유포
이번에 발견된 악성코드는 “[민방위] 사이버교육 신청기간입니다. 신청하기 ww*.***.kr/U3ㅇ”, ”oo성형외과 10주년 기념행사, 10일간 이뻐지자 할인이벤트 현금 40%, 카드 30% ht**://***.nu”와 같이 사용자들을 현혹하는 스미싱 메시지로 유포되고 있다.

2. 악성앱 설치 유도 및 스마트폰 내 권한 요구
사용자가 메시지에 삽입된 URL을 클릭하면 스마트폰 화면에 유명 포털사이트의 검색 앱이나 뷰티관련 앱의 설치를 유도한다. 앱을 설치 시, 감염 스마트폰 내 개인정보 접근, 문자메시지 발송 및 수신, 네트워크 통신, 통화, 시스템 도구 등에 접근하는 등 과도한 권한을 요구한다.

3. 가짜 감염메시지로 V3 모바일 2.0 삭제 유도
해당 앱은 아이콘 모양을 일부 변경해 구글 공식 마켓에 등록되어 있는 실제 앱을 사칭했다. 또한 사용자가 해당 앱을 종료하면 바탕화면에 아이콘이 자동으로 제거되어 있어 사용자의 의심을 쉽게 피할 수 있다.
 
악성코드에 감염된 사용자가 금융거래를 하기 위해 뱅킹 앱을 실행하면 자동으로 실행되는 V3 모바일 플러스 2.0 진단창을 위장한 화면에 가짜 감염 메시지가 뜬다. 사용자가 무심코 확인 버튼을 누르면 V3모바일 플러스를 삭제한다. 악성코드 치료를 사칭해 해당 보안 프로그램을 삭제하는 것이다.
 
4. V3 모바일 2.0의 실제 진단/치료 과정과의 차이
하지만 이는 실제 ‘V3 모바일 플러스 2.0’의 진단/치료 과정과 다르다. V3 모바일 플러스 2.0은 스마트폰 알림창에 경고 메시지가 먼저 뜨고, 사용자가 이를 클릭하면 진단화면으로 넘어간다. 또한 위장한 진단창의 형태도 메시지 박스가 뜨는 것이 아니라 진단되는 악성코드의 진단명과 악성 앱의 아이콘이 하단에 표시된다.

이후, 해당 악성 앱은 정상 은행 앱의 삭제 및 사용자의 금융정보를 탈취하기 위한 가짜 은행 앱 설치를 유도한다.

해당 악성코드는 안랩 스마트폰 전용 모바일 백신 V3 모바일 2.0 및 V3 모바일 플러스 2.0이 진단하고 있다

안랩은 “아직 해당 악성코드나 많이 확산되지는 않고 있으나, 이 악성코드가 스마트폰에 저장된 개인 정보 및 금융정보를 동시에 유출 시도하기 때문에, 즉각적인 금전피해가 발생할 수 있다”며 사용자의 주의를 촉구했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★